改正個人情報保護法対応について 1. 改正個人情報保護法における変更点 改正法において規定された従来になかった概念として 要配慮個人情報 個人識別符号 および 匿名加工情報 の 3 つが また新たに要請される手続きとして 確認 記録義務 が挙 げられる 以下各々について現時点でとるべき対応 考え方について整理したので公開する 1). 要配慮個人情報 要配慮個人情報 は 万が一漏洩した場合に個人に対して回復困難な重大な損害をもたらす可能性がある個人情報であり 国籍 人種 宗教 犯罪歴 病歴などが該当する 医療分野においてはがんや精神病等の特定の病名のみではなく全ての病名が対象となり また受診したという事実自体が要配慮個人情報とみなされる さらに健診情報や健診を受診した事実自体が要配慮個人情報とみなされる点にも留意が必要である 要配慮個人情報の取得 第三者提供については 原則オプトイン ( 個別同意 ) が要求され オプトインは認められない 各々の医療系事業者が取り扱う個人情報が要配慮個人情報に該当するかの基本的な考え方は 筆者らが個人情報保護委員会に問い合わせた質問に対する回答 ( 表 1) が参考になる すなわち病名は がん や 統合失調症 等の特定の病名のみが該当するのではなく ) 医師により診断された病名は全て該当すること 調剤薬局で主に取り扱う対象者の処方薬剤名 服薬状況等を含む個人情報は 要配慮個人情報に該当すると考えられること 助産施設で主に取り扱う対象者の妊娠出産状況を含む個人情報は 要配慮個人情報に該当すると考えられること などが留意点となろう 表 : 要配慮個人情報に関する個人情報保護委員会からの Q&A Q1 個人情報の保護に関する法律についてのガイドライン ( 通則編 ) (2016/11/30) の 2-3( 法第 2 条第 3 項関係 ) 関連 1-1 同ガイドラインに示される 要配慮個人情報 である 病歴 には 例示されている がん 統合失調症 以外にどのような疾患が該当する か ( 回答 ) 医師により診断された病名は全て該当することとなります 1-2 病歴 に全ての疾患が含まれるわけでは無い場合 病歴 に含まれるかどうかの具体的判断基準 ( 回答 ) 医師により診断された病名は全て該当することとなります 1-3-a 同条のガイドラインにおいて 以下 1~5 は 要配慮個人情 報 に該当するか 1-3-b 該当する場合 しない場合があるとき 該当するかどうかの以下 1~5 各々についての具体的な判断基準
1 介護 福祉施設で主に取り扱う対象者の病名や障害を含む身体状況 家族構成 資産状況 ( 銀行預金残高を含む ) 緊急連絡先等 の個人情報 一般論として 対象者の病名や障害を含む身体状況は 医師により診断された病名や障害であると考えられるため 改正個人情報保護法第 2 条第 3 項に定 める 病歴 政令第 2 条第 1 号 第 2 条第 3 号に該当し 要配慮個人情報に該当すると考えられます 一方 対象者の家族構 成 資産状況 緊急連絡先の個人情報は 要配慮個人情報に該当しないと考えられます 2 柔整鍼灸施設で主に取り扱う対象者の病名や障害を含む身体状況 施術内容等の個人情報 一般論として 対象者の病名や障害を含む身体状況は 医師により診断された病名や障害であると考えられるため 改正個人情報保 護法第 2 条第 3 項に定める 病歴 政令第 2 条第 1 号 第 2 条第 3 号に該当し 要配慮個人情報に該当すると考えられます 柔整鍼灸施設における施術内容は 医師に診断されたものでないと考えられるため 要配慮個人情報に該当しないと考えられます 2 3 調剤薬局で主に取り扱う対象者の処方薬剤名 服薬状況等を含む個人情報 一般論として 対象者の処方薬剤名 服薬状況等を含む個人情報は 政令第 2 条第 3 号に該当し 要配慮個人情報に該当すると 考えられます 4 助産施設で主に取り扱う対象者の妊娠出産状況を含む個人情報 一般論として 対象者の妊娠 出産状況を含む個人情報は 政令第 2 条第 3 号に該当し 要配慮個人情報に該当すると考えられま す 5 健康増進施設 ( フィットネス サプリメント販売 健康情報提供 ウェアラブルデバイス販売レンタル等を実施する施設 ) で主 に取り扱う対象者の身体状況を含む個人情報 一般論として いずれの情報も要配慮個人情報に該当しないと考えられます 2). 個人識別符号 個人識別符号 は データ自体に特定の個人を識別できるような情報を有するものを指し 医療分野で関連する例として具体的には遺伝子情報 指紋 掌紋 声紋 顔面の造作 特徴的な歩き方などの情報から抽出した特徴情報を 本人を認証することを目的とした装置やソフトウェアにより 本人を認証することができるようにしたもの が挙げられている ここで留意すべきは 個人識別符号たる要件として 本人を認証することを目的とした装置やソフトウェアにより 本人を認証することができるようにしたもの とされている点であり 医療機関で患者の指紋等が視認可能な写真を撮影した場合や 頭部 CT の 3D 画像で顔
貌が形状的に再現できる場合等は 本人が認証できるようにしたものとはみなされず 個人識別符号とはならない点である 医療機関において個人識別符号が実際上問題となるのは遺伝子情報の場合が大半と思われるが これらについても ゲノムデータ ) のうち 全核ゲノムシークエンスデータ 全エクソームシークエンスデータ 全ゲノム SNP データ 互いに独立な 40 箇所以上の SNP から構成されるシークエンスデータ 9 座位以上の 4 塩基 STR 等の遺伝型情報により本人を認証することができるようにしたものが 個人識別符号に該当するとされており 断片的なシークエンスデータは該当しない 当然ではあるが 患者の髪の毛自体も個人識別できるようにデータ化されていないため 個人識別符号ではない 但し上記に該当する個人識別可能なデータを保有する場合には 氏名等の直接個人を識別できる情報を削除しても 個人情報として取り扱う必要があることになる 従来氏名等を削除 符号化することにより匿名化 ( 非個人情報化 ) が可能であったが 個人識別符号を含む場合は 匿名化ができない場合があり 注意を要することになる 3). 匿名加工情報 匿名加工情報 とは 個人情報を個人情報の区分に応じて定められた措置を講じて特定の個人を識別することができないように加工して得られる個人に関する情報であって 当該個人情報を復元して特定の個人を再識別することができないようにしたものをいう と定義されている 具体的な加工方法の基準については 個人情報保護委員会規則 19 条で定
められており (1) 個人情報に含まれる特定の個人を識別することができる記述等の全部又は一部を削除すること ( 当該全部又は一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む ) (2) 個人情報に含まれる個人識別符号の全部を削除すること ( 当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む ) (3) 個人情報と当該個人情報に措置を講じて得られる情報とを連結する符号 ( 現に個人情報取扱事業者において取り扱う情報を相互に連結する符号に限る ) を削除すること ( 当該符号を復元することのできる規則性を有しない方法により当該個人情報と当該個人情報に措置を講じて得られる情報を連結することができない符号に置き換えることを含む ) (4) 特異な記述等を削除すること ( 当該特異な記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む ) (5) 前各号に掲げる措置のほか 個人情報に含まれる記述等と当該個人情報を含む個人情報データベース等を構成する他の個人情報に含まれる記述等との差異その他の当該個人情報データベース等の性質を勘案し その結果を踏まえて適切な措置を講ずること すなわち 匿名加工情報 は 個人情報から個人識別情報 ( 氏名等 ) と個人識別符号を除き さらに対応表と特異な記述を削除し 最後にデータベースによる照合を禁止する という非常に厳密な措置を講じることを要件とする匿名化の手法の一種と位置づけられる 実際には 匿名加工情報 を作成する以外にも匿名化の方法は数多く存在する 上記基準内の (4) の特異な記述の削除については 事例 1) 症例数の極めて少ない病歴を削除する 事例 2) 年齢が 116 歳 という情報を 90 歳以上 に置き換える が例示されており この処理に関してはデータ毎の個別性が大きいため 一括でシステム的な対応を行うには相応の開発が必要となろう 一方で 匿名加工情報 は医学医療分野においては 研究教育等の目的でも利用しづらいケースが多いと考えられ 実際上利活用されるユースケースは多くないことが想定される
4). 確認 記録義務 確認記録義務 は 個人情報を第三者提供ないし 第三者から取得する場合に いつ 誰から 誰の 何の個人情報を取得したか を記録することと 第三者から取得した場合には上記に加え 個人の有効な同意が存在すること を確認する義務を課すものである この法的要請は ベネッセコーポレーションの事件で 複数の名簿業者を介して情報が転売されることにより不正な情報拡散が起こったことを踏まえ 第三者提供に関与する事業者にトレーサビリティを確保する義務を課す事を目的としている 個人情報保護委員会もこの規定の主目的が 名簿屋対策 であることを認めている この要請を満たし漏洩事案が発生した際にトレーサビリティを保証するためには システム面でも運用面でも相当の対応が必要となると思われる
* 参照すべきガイドライン 指針等一覧個人情報保護法ガイドライン ( 通則編 ): https://www.ppc.go.jp/files/pdf/guidelines01.pdf 個人情報保護法ガイドライン ( 匿名加工情報編 ): https://www.ppc.go.jp/files/pdf/guidelines03.pdf 個人情報保護法ガイドライン ( 確認記録義務編 ): https://www.ppc.go.jp/files/pdf/guidelines04.pdf 医療介護関係事業者における個人情報の適切な取扱いのためのガイダンス https://search.egov.go.jp/servlet/public?classname=pcmmstdetail&id=240000032&mode=0 人を対象とする医学系研究に関する倫理指針 ( 平成 29 年 2 月 28 日一部改訂 ) https://www.icrweb.jp/mod/resource/view.php?id=120 人を対象とする医学系研究に関する倫理指針ガイダンス ( 平成 29 年 3 月 8 日一部改訂 ) https://www.icrweb.jp/mod/resource/view.php?id=120 個人データの漏えい等の事案が発生した場合等の対応について ( 平成 29 年個人情報保護委員会告示第 1 号 ) https://www.ppc.go.jp/files/pdf/iinkaikokuzi01.pdf 以上 医事業務 NO.517 2017.5.15( 産労総合研究所附属医療経営情報研究所発行 ) より転載 * 上記記載内容については 2017 年 4 月時点で把握できている法令 ガイドライン ガイダンス等を元に メディカル IT セキュリティフォーラムとして整理したものであり その内容については正確かつ公平であるように努めていますが 実際の個々の対応が適切かどうかは 各々の医療機関等で検討していただくことを原則としています 従って 本まとめの内容に従って行った対応等の結果について メディカル IT セキュリティフォーラムは一切の責任を負えないことをご了承ください